Konni Grubu, Yapay Zeka Destekli PowerShell Arka Kapısıyla Blockchain Geliştiricilerini Hedef Alıyor

Anasayfa » Konni Grubu, Yapay Zeka Destekli PowerShell Arka Kapısıyla Blockchain Geliştiricilerini Hedef Alıyor
APT, Phishing, Zararlı Yazılım
Ocak 31, 2026Ocak 31, 2026Tarafından Cybernews.TR
0
Konni Grubu, Yapay Zeka Destekli PowerShell Arka Kapısıyla Blockchain Geliştiricilerini Hedef Alıyor

Saldırının Genel Çerçevesi

Konni tehdit grubu, blockchain geliştirme ekiplerini hedef alan yeni bir kampanya kapsamında yapay zeka (YZ) destekli PowerShell arka kapısı kullanıyor. Bu saldırılar, özellikle Güney Kore, Japonya, Avustralya ve Hindistan gibi ülkelerde faaliyet gösteren mühendislik ekiplerine yönelik olup, phishing e-postaları aracılığıyla gerçekleştiriliyor. Kampanya, Google ve Naver reklam platformları üzerinden yönlendirme yapan zararsız görünümlü URL’ler kullanarak e-posta güvenlik filtrelerini aşmayı başarıyor.

Saldırı Zinciri ve Teknik Detaylar

Kampanyada kullanılan phishing e-postaları, finansal işlem onayı veya havale talepleri gibi maskelenmiş bildirimlerle kullanıcıları kandırıyor. E-postalar, WordPress sitelerinde barındırılan ZIP arşivlerine yönlendiriyor. ZIP dosyası, PDF gibi gizlenmiş AutoIt betiği içeren Windows kısayolu (LNK) barındırıyor. Bu betik, EndRAT (EndClient RAT) adlı kötü amaçlı yazılımı çalıştırıyor.

LNK dosyası, gömülü PowerShell yükleyicisi aracılığıyla Microsoft Word tuzak belgesi ve CAB arşivi çıkarıyor. CAB arşivi içinde, PowerShell arka kapısı, iki batch betiği ve UAC atlatma için yürütülebilir dosya bulunuyor. İlk batch betiği ortam hazırlığı yapıp kalıcılık için zamanlanmış görev oluşturuyor ve kendini siliyor. PowerShell arka kapısı ise sandbox ve analiz önleme kontrolleri gerçekleştirip FodHelper UAC atlatma tekniğiyle ayrıcalıkları yükseltiyor.

Arka kapı, Microsoft Defender hariç tutmaları yapılandırıyor ve ikinci batch betiği ile yüksek ayrıcalıklı yeni zamanlanmış görev oluşturuyor. Kalıcı erişim için SimpleHelp adlı meşru Uzaktan İzleme ve Yönetim (RMM) aracı bırakılıyor. C2 iletişimi, şifreleme kapısı ile korunuyor ve periyodik olarak ana bilgisayar meta verisi gönderilip sunucudan PowerShell kodu alınıyor.

Hedefler ve Bölgesel Etki

Konni, 2014’ten beri Güney Kore merkezli hedeflere odaklanırken, son kampanyada Japonya, Avustralya, Hindistan, Rusya, Ukrayna ve Avrupa ülkeleri de hedefler arasında yer alıyor. Saldırılar, blockchain geliştiricileri ve mühendislik ekiplerine yönelik olup, özellikle finans kurumları ve insan hakları örgütleri taklidi yapılarak sosyal mühendislik teknikleri kullanılıyor.

Teknik Özet

  • Kullanılan zararlılar: EndRAT, SimpleHelp RMM, MoonPeak RAT, JelusRAT, StarshellRAT, GopherRAT
  • Kullanılan teknikler: Phishing, PowerShell arka kapısı, UAC atlatma (FodHelper), AutoIt betikleri, sosyal mühendislik, reklam tıklama yönlendirme
  • Hedef sektörler: Blockchain geliştirme, finans, insan hakları örgütleri
  • Kullanılan altyapı: Google ve Naver reklam platformları, WordPress siteleri, Discord CDN
  • MITRE ATT&CK referansları: T1566 (Phishing), T1059.001 (PowerShell), T1548.002 (UAC Bypass: FodHelper), T1071.001 (Web Protocols)

Sistem Yöneticileri ve SOC Ekipleri İçin Öneriler

  • E-posta güvenliği çözümlerinde reklam tıklama yönlendirmelerini içeren URL’leri özel olarak inceleyin.
  • PowerShell komutlarını ve betiklerini davranışsal olarak izleyen EDR kuralları oluşturun.
  • UAC atlatma tekniklerine karşı FodHelper ve benzeri araçların kullanımını engelleyecek politikalar uygulayın.
  • WordPress ve diğer CMS altyapılarının güvenlik yamalarını düzenli olarak güncelleyin ve erişim kontrollerini sıkılaştırın.
  • Zamanlanmış görevlerde olağandışı veya yetkisiz görevlerin oluşturulup oluşturulmadığını düzenli olarak denetleyin.
  • Uzaktan İzleme ve Yönetim (RMM) araçlarının kullanımını ve konfigürasyonlarını gözden geçirin, gereksiz olanları devre dışı bırakın.
  • Phishing farkındalığını artırmak için kullanıcı eğitimleri düzenleyin ve sosyal mühendislik testleri yapın.
  • SIEM sistemlerinde PowerShell ve AutoIt betik aktivitelerini detaylı loglayarak anomali tespiti yapın.

Kurumsal Ortamlarda Olası Senaryo

Bir blockchain geliştirme firmasında çalışan mühendisler, finansal işlem onayı gibi görünen phishing e-postaları alıyor. E-postadaki linkler, Google reklam yönlendirmesiyle gizlenmiş zararlı ZIP dosyasına erişim sağlıyor. Kullanıcı ZIP dosyasını indirip açtığında, PowerShell arka kapısı sistemde kalıcı erişim sağlıyor ve SimpleHelp RMM aracı ile saldırganlar uzaktan kontrolü ele geçiriyor. Bu durum, geliştirici ortamlarında kritik kodlara ve projelere yetkisiz erişim riskini doğuruyor.

Sonuç

Konni grubunun YZ destekli araçlarla geliştirdiği bu yeni saldırı yöntemi, gelişmiş sosyal mühendislik ve çok aşamalı zararlı dağıtımıyla dikkat çekiyor. Özellikle blockchain ve finans sektöründeki kurumlar, e-posta güvenliği ve endpoint korumasını güçlendirmeli, UAC atlatma tekniklerine karşı önlemler almalı. Ayrıca, SIEM ve EDR çözümleriyle PowerShell aktiviteleri yakından izlenmeli ve kullanıcı farkındalığı artırılmalıdır.

, , , , , , ,